Всем владельцам сайтов, которые обрабатывают персональные данные!

С 01.07.2017 г. вступили в силу изменения в законе о персональных данных

С 01.07.2017 года вступили в силу изменения в законе 152-ФЗ «О персональных данных». Несоблюдения данного закона влечет за собой штрафы, которые в разы увеличились после внесения изменений.

Если до вступления в силу изменений в закон, по статье 13.11 было одно нарушение, за которое Вас могли оштрафовать на 10 000 рублей для юр. лиц. Сейчас появилось семь нарушений, которые могут повлечь за собой штраф до 295 000 рублей.

Обработка персональной информации. Требования, предъявляемые к сайтам

Требованиям 152-ФЗ, которые необходимо соблюдать всем владельцам сайтов, обрабатывающим персональные данные

В законе 152-ФЗ «О персональных данных» говорится о том, что персональные данные включают в себя любую информацию, которая прямо или косвенно относится к определенному физическому лицу. Следовательно, персональные данные – это любые данные о субъекте, по которым можно опознать человека, например, по электронной почте.

Требования к сайтам:

  1. База с персональными данными и хостинг должны находиться на территории Российской Федерации (закон № 242-ФЗ от 01.09.2015 г.). Это касается всех, как иностранных компаний с юридическим лицом из России, так и российских фирм, использующих иностранный хостинг и облачные платформы. Если возникли вопросы необходимо обратиться в Роскомнадзор или Минкомсвязь, для уточнения информации о вашем хостинг-провайдере.
  2. На Вашем сайте под каждой формой сбора персональной информации нужно разместить: текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» со ссылкой на пользовательское соглашение, согласие на обработку персональных данных. Описания соглашения можно разместить на отдельной странице.
  3. Необходимо на сайте разместить ссылку на документ с описанием политики конфиденциальности организации по отношению к обработке персональных данных субъекта РФ.
  4. На сайте необходимо оповещать всех пользователей о сборе их метаданных, о том, что Вы собираете данные об IP-адресе, местоположении и cookie. Такие действия необходимы чтобы, посетители сайта, которые не хотят, чтобы о них собиралась подомная информация, покинули ваш интернет ресурс.
  5. Необходимо внести Вашу организацию в реестр операторов персональных данных Роскомнадзора.

Дополнительные требования к юридическим лицам:

  1. Вам необходимо назначить ответственных лиц, которые будут разрабатывать внутренние документы, регламентирующие защиту и процессы обработки персональных данных.
  2. Вам необходимо защищать персональные данные техническими и организационными мерами, как прописано в приказе ФСТЭК № 21. Использовать антивирусные системы, средства межсетевого экранирования и разграничивать права доступа к персональным данным.
  3. Также Вам нужно отрегулировать взаимодействие с физическими лицами, госорганами и контрагентами, с помощью:
  • Ознакомить сотрудников компании с внутренними документами по персональным данным под роспись. Они должны подписать обязательства о неразглашении персональных данных и согласие на обработку их персональных данных.
  • Подписывать согласие на обработку персональных данных с другими физическими лицами. При заключении договоров добавлять пункты в данные документы об обработке персональных данных.
  • При передаче персональных данных третьим лицам, заключать с ними поручения на обработку этих данных
  • Важно отвечать на запросы субъектов по поводу обработки их персональных данных

Проверка на упомянутые требование осуществляется в отношении любых организаций, ИП и физических лиц, которые собирают и обрабатывают персональные данные. В зависимости от требований проверять компанию могут разные инстанции: Роскомнадзор, ФСТЭКи ФСБ России. Обнаружив нарушения, сначала присылают письма с указанием выявленных нарушений, а следом блокируют сайт, взыскивают штраф и иногда приостанавливают деятельность компании.

Не стоит ожидать писем с предупреждениями. Лучше выполнить все основные требования и, с помощью этого, избежать плачевных последствий и штрафов.

Персональные данные, их обработка и защита

Дополнительная информация

Что должно содержать в себе соглашение об обработке персональных данных?

В соответствии с частью 4 статьей 9 закона 152-ФЗ «О персональных данных» в соглашении нужно указывать:

  • наименование или фамилия, имя, отчество и адрес оператора, который получает согласие физического лица на обработку своих персональных данных;
  • цель данной обработки персональных данных;
  • перечень персональных данных, которые будут обрабатываться с согласием субъекта;
  • действия, которые будут производиться в отношении персональных данных, после получения согласия;
  • описание способов обработки персональных данных;
  • срок действия согласия физического лица на обработку персональных данных и возможности его отзыва;

Дополнительно необходимо информировать физическое  лицо о возможности отозвать свое согласие на обработку персональных данных.

Нужно ли соблюдать перечисленные выше требования, если персональные данные не обрабатываются, а только собираются?

Согласно определению закона 152-ФЗ: обработка персональных данных включает в себя любые действия, их совокупность, которые совершаются с персональными данными: сбор, запись, систематизация, накопление и хранение, обновление и изменение, извлечение, использование, передача, обезличивание, блокирование, а также удаление. Следовательно, обработка персональных данных включает в себя и просто их сбор. Значит, чтобы избежать штрафов, необходимо соблюдать перечисленные требования.

Почему именно сейчас вступили в силу изменения в законе о персональных данных?

Изменения в законе о персональных данных и штрафы, которые вступили в силу с 01.07.2017 г. были обусловлены частыми нарушениями, выявленными Роскомнадзор в течение последних 5 лет.  Ужесточение законодательства Российской Федерации, также связано и с ужесточением законодательства в Евросоюзе.

При наличии на вашем сайте любой формы сбора данных, включая обратную связь, подписки на рассылку, регистрацию на сайте – все это является обработкой персональных данных, и вам следует придерживаться закона 152-ФЗ «О персональных данных».